"Взлом" форума

[Виталий]

Форум уже несколько раз пытались взломать.
Сам по себе форум считается невзламываемым. Но  форум просто напросто "обходили", изменяя главный фйал загрузки.
С владельцами "хостинга" постоянно общаюсь, мне скинули документальное подтверждение,  с какого именно ипишника происходил взлом. Даже и не с плавающего, а с Московского.
Можно ли наказать за вломы форумов и как это делается?  Есть смысл обращаться во всевозможные "органы"?
Или просто с постоянной методичностью восстанавливать форум?

[d0wn]

самое лучшее наказание-бить лицо. но это вроде непедагогично...

[Виталий]

самое лучшее наказание-бить лицо. но это вроде непедагогично...

   

Бить лучше заказчика...
Хакер - это просто исполнитель.

Заказчика, конечно, можно найти, но очень уж проблематично.
 Много времени на это дело уйдёт, а этого времени всегда не хватает.

С другой стороны, по телеку постоянно пишут, что поймали того  или иного хакера. И показательно наказали.
Только вот не говорят, как наказали. Судя по всему, эти случаи когда что-либо финансовое или гос взламывают.
Но всё равно занятно, что за взлом частных ресурсов бывает....

[Sting]

В последние 3 дня невозможно зайти на форум, сразу лезут вирусы. Судя по всему "касперский" пропустил парочку, т.к. комп глючить начал. 

[Виталий]

В последние 3 дня невозможно зайти на форум, сразу лезут вирусы. Судя по всему "касперский" пропустил парочку, т.к. комп глючить начал. 

Я заметил.
только пока что не понял, как это происходит и откуда берётся.
По предварительным данным - не с самого форума, а с блоков.
Жду, когда ещё полезут, чтобы пробовать отключать поочерёдно и отсечь лазейку.
Если будут наблюдения - при загрузке какого именно блока начинают лезть скрипты - просьба сообщить.

Но у меня вирусы не лезут, о просто форум намертво встаёт... Притом - неожиданно и в разных местах.
С владельцем хоста связывался - форум в последний месяц не взламывали.

[astoria]

У меня выскакивает какое то предложение скачать файл

[d0wn]

по поводу вставания.
отключите чтение pdf или блочте Гости не могут просматривать ссылки. Зарегистрируйтесь или войдите на форум
предлагается скачаться какаято pdf - ка. Гости не могут просматривать ссылки. Зарегистрируйтесь или войдите на форум

[Виталий]

по поводу вставания.
отключите чтение pdf или блочте Гости не могут просматривать ссылки. Зарегистрируйтесь или войдите на форум
предлагается скачаться какаято pdf - ка. Гости не могут просматривать ссылки. Зарегистрируйтесь или войдите на форум

PDF выключил.
Заодно и несколько блоков.

Не могу понять, куда это ведёт и где этот файл искать... Судя по всему, по одной из какой-то ссылке, в одной из тем. А вот где....?

[d0wn]

вот откуда левак - _ttp://opana.cn/opa.html
_ttp://noobs.su/all.html
_ttp://jezl0.com/su/in.cgi
_ttp://p0llo.com/protektor/in.cgi

в блэк лист.

[d0wn]

все это видно в Формах страницы.
где то это ботва в ява-скриптах. мб пошифрована даже. пусть web-программер ковряется.
чтобы не было проблем просто откл ява-скрипты в браузере.
Акробат тут бвидимо , не при чем.
удач.

[Виталий]

все это видно в Формах страницы.
мб берется из ява скриптов? 

Вроде нашёл и ликвидировал.
Был взломан блок с статистикой "майл РУ" и туда засунут скрипт.
Пока что просто отключил весь блок.
А ссылки генерировались с непонятной последовательности.
Буду сейчас ещё смотреть - может ещё куда запхнули 

[Виталий]

нашёл ещё один "вредный скрипт...
11 августа опять хакеры "побаловались" 

запхнут везде, где возможно:

(кликните для показа/скрытия)

<script src="Гости не могут просматривать ссылки. Зарегистрируйтесь или войдите на форум"></script>

На сайте всё исправил.
теперь буду искать в выходные этот файл в оформлении форума... в крайнем случае - переставлю

[d0wn]

вроде все чисто.
в заголовках один rss-potolki
гут.

[Виталий]

вроде все чисто.
в заголовках один rss-potolki
гут.

Да, теперь всё чисто.
Спасибо огромное за помощь.
Буду искать "дырку", как хакеры смогли добраться до паролей к FTTP.

[Sting]

Да, теперь всё чисто.

Сегодня с утра форум снова "подвис", касперский заблокировал трояна, акробат начал загружаться... 

[Виталий]

Сегодня с утра форум снова "подвис", касперский заблокировал трояна, акробат начал загружаться... 

Я только сейчас последнего изловил.
Просто сообщение новое не писал, а вчерашнее отредактировал. Так что утром вполне было возможно "подвисание"

А вообще - пока может быть, если хакеры ещё заглянут. Но я уже знаю, что они делают. Буду исправлять за пару секунд. 
Я знаю, что они делают, но не знаю, как они доступ получают. Буду заплатку искать.

[Виталий]

Разобрался, что именно произошло.
Некий житель Украины, зная движок этого форума и что и где расположено, добрался до определённого файла, в котором хранились записи движка. И одна из системных записей - пароль по доступу FTP.
Потом с помощью этого доступа - менял некоторые файлы сайта и форума, добавляя свой Ява-скрипт.
БД не сливал. Просто спамер.

Кому нужно - вот его ипишник и время, когда он менял скрипты сайта и форума:

(кликните для показа/скрытия)

91.203.92.29      Aug  9 16:42 - 16:44
91.203.92.29      Aug 11 19:13 - 19:14
91.203.92.29      Aug 12 22:39 - 22:40
91.203.92.29      Aug 14 00:18 - 00:19
91.203.92.29      Aug 15 14:23 - 14:25
91.203.92.29      Aug 15 23:22 - 23:23

[Виталий]

Проследил ещё один скрипт - в поисковике.
Удалил.
Если ещё раз файл где-нибудь всплывёт - скорее всего доступ к форуму прикрою, до окончания моего отпуска - до 1 сентября.
Потом буду разбираться и переустанавливать.

[Виталий]

нужна помощь знатаков  настроек хоста .ru
все взломы форума идут через FTP.
но в настройках хоста можно ограничить доступ по FTP, задав всего один - два ипишника.
Только вот я не могу найти, где и как это сделать.
По моему запросу ответил специалист технической поддержки "Хостинг-Центр РБК":
 
Чтобы ограничить доступ  ип-адрессов по FTP, имеется  функция "Разраничение доступа".  Данная функция находится в Вашей контрольной панели, раздел "настройки сервера".

Всю "Контрольную панель"  облазил. Есть только в одном месте что-то похожее. А как всё настроить, чтобы работало - не знаю... А техническая поддержка больже ничего подсказывать не хочет.